Flemming Kjærsdam • 24 februar 2022

Tager hånd om informationssikkerheden i Nyborg

I begyndelsen af 2020 tog ledelsen i Nyborg Kommune en beslutning om at oprette en afdeling for Digitalisering og informationssikkerhed. I dag er der fem ansatte i afdelingen, heraf tre specialister inden for informationssikkerhed til at få skabt overblik over kommunens systemer og arbejdsgange og to specialister inden for digitalisering, som blandt andet arbejder med automatisering.

 

To af de fem medarbejdere i Nyborg Kommunes afdeling for informationssikkerhed er Anders Chemnitz og Ditte Baltersen. Begge startede i Nyborg Kommune i efteråret 2020 nogle måneder efter, at afdelingen var oprettet.

“Vi kom til en kommune, hvor GDPR-reglerne kørte i excel ark og i word dokumenter. Så vores første opgave i den nyoprettede afdeling var at finde et it-system, hvor vi kunne forankre alle processer og arbejdsgange, så vi fik et overblik over forretningen om de kritiske persondata, og hvor de eventuelle sårbarheder fandtes i it-systemerne,” siger sikkerhedskonsulent Anders Chemnitz, Digitalisering og I-sikkerhed.

Afdelingen for Digitalisering og I-sikkerhed foretager risikoanalyser og understøtter forretningen i forhold til GDPR-reglerne.

Nyborg Kommune valgte Siscon som leverandør af et it-system for at få skabt et sikkerhedsmæssigt overblik over de risici, der er i kommunens systemportefølje.

“Efter det første år fik vi skabt et overblik og for nylig er vi gået i gang med et hændelses-registrerings modul, hvor vi kan få hændelser om persondata ind fra hele organisationen, så kan vi afdække, hvor det er sket – i hvilken forretningsproces og it-system”.

“Fra en start af besluttede vi at have fokus på forretningsprocesser. Kommunen behandler en masse kritiske persondata, og det er i omgangen med disse persondata, at vi skal bevare overblikket, så der sker færrest mulige hændelser og brud,” siger Anders Chemnitz.

Sikkerhedskonsulent Ditte Baltersen, Digitalisering og I-sikkerhed: ”I dag har vi fået skabt et langt bedre og mere kvalificeret systemoverblik, der har sat struktur på arbejdsgangene og udnytter kommunens tid og ressourcer langt mere effektivt, end hvis det skulle hentes i regneark og Word-dokumenter”.

Information Security Management system (ISMS) er det system, der har givet overblik over de processer om risikovurderinger og konsekvensanalyser, der kan bruges til at afklare, hvilke indsatser der er behov for. 

 

 

Nyborg Kommune

Nyborg Kommune oprettede som sagt afdelingen for digitalisering og I-sikkerhed i begyndelsen af  2020 og med reference til økonomichefen.

Anders Chemnitz: “Jeg mener kommunen gjorde det i erkendelse af, at man savnede et sted at forankre informationssikkerheden. Alle de aktiviteter omkring processer og opmærksomhed på informationssikkerhed er jo ikke hardcore it. Men der er en bølge af lovmedholdelighed, der skyller ind over os, og den er vi jo nødt til at fange og reagere på. Hermed fik vi fra starten fuld ledelsesopbakning.”

Afdelingen har solid, faglig opbakning fra kommunens Informationssikkerhedsudvalg med kommunaldirektøren for bordenden.

Ditte Baltersen: “Vi valgte control manager fra Siscon som ISMS system. Her er der faciliteter, hvor du kan dokumentere risikovurderinger, fortegnelser om beredskab, awareness og hændelses håndtering mv.. Dermed kommer vi væk fra det sted, hvor vi behandler GDPR-reglerne med en række løse excelark og word dokumenter. I stedet skaber systemet sammenhænge på tværs af systemporteføljen og arbejdsgange, som giver vores afdeling og ledelsen et overblik.”

 

Awareness

Det er et kæmpe job at skabe opmærksomhed (awareness) omkring informationssikkerheden i en kommunes afdelinger og med op til over 300 forskellige it-systemer. I Nyborg Kommune har I-sikkerhedsafdelingen taget den offensive vej. Det vil sige afdelingen har været på turné rundt til alle afdelinger og skabt bevågenhed i organisationen.

Anders Chemnitz: “Det er utroligt vigtigt, når vi gerne vil arbejde med informationssikkerhed på et så detaljeret niveau, som vi gør, at vi har ledelsens opbakning til at gøre det. Vi kommer jo ud i afdelingerne og fortæller dem, at de skal prioritere noget tid til informationssikkerhed, og her hjælper det, at vi kommer med ledelsens opbakning”.

Ditte Baltersen: “Det har kostet os ekstra tid at gøre vores arbejde på den måde ved at tage rundt og undervise folk i informationssikkerhed gennem workshops og på e-learningkurser og personlige interviews. I stedet for at sende spørgeskemaer ud og så skulle samle data op bagefter. Dét, vi kan se idag, snart 1½ år efter vi er startet er, at de ansatte kommer til os og melder ind, hvis der sker et brud eller en hændelse, og nogle gange kontakter de os, før det sker. Det er en kæmpe fordel for os som afdeling at have skabt den opmærksomhed i organisationen. Jeg synes, vi står et rigtig godt sted i dag”.   

Anders Chemnitz: “Vi tager informationssikkerheden meget seriøst. Du kan ikke undgå, at der sker databrud, når du behandler så mange personlige data, som vi gør. Der er ingen kommuner, som ønsker at få udstillet borgerne”. 

“Hele pointen med GDPR-regelsættene er, at vi har ansvaret for at beskytte folks personfølsomme data. Det handler om at bevare borgernes tillid til myndighedernes håndtering af personfølsomme,” siger Anders Chemnitz.